※ 漏洞概述
※ 详细技术资料
※ 预防方法
※ 修补程序及下载位置
※ 清除方法
※ 常见问题解答
漏洞概述:
目前正有一种未知病毒大规模爆发,暂时还没有明确的解决办法,请近期慎用操作系统为WINDOWS XP和WINDOWS2000的机器上网。
本公告的目标读者:运行 Microsoft Windows 的用户。
漏洞的影响:运行攻击者选择的代码
最高严重等级:严重
建议:系统管理员应立即应用此修补程序。
受影响的软件: Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
详细技术资料:
远程过程调用
(RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从
OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型
(DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定
(UNC) 路径)。
为利用此漏洞,攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。
预防方法:
为利用此漏洞,攻击者可能需要拥有向远程计算机上的 135 端口发送精心编造的请求的能力。对于 Intranet 环境,此端口通常是可以访问的;但对于通过
Internet 相连的计算机,防火墙通常会封堵 135 端口。如果没有封堵该端口,或者在 Intranet 环境中,攻击者就不需要有任何其他特权。
最佳做法是封堵所有实际上未使用的 TCP/IP 端口。因此,大多数连接到 Internet 的计算机应当封堵 135 端口。RPC over
TCP 不适合在 Internet 这样存在着危险的环境中使用。像 RPC over HTTP 这样更坚实的协议适用于有潜在危险的环境。
要详细了解有关为客户端和服务器保护 RPC 的详细信息,请访问:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp。
要了解有关 RPC 使用的端口的详细信息,请访问:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/re
skit/tcpip/part4/tcpappc.asp
修补程序及下载位置:
·
Windows
NT 4.0 Server
· http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F
· Windows
NT 4.0 Terminal Server Edition
· http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
· Windows
2000
· http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
· Windows
XP 32 位版本
· http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
· Windows
XP 64 位版本
· http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
· Windows
Server 2003 32 位版本
· http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
· Windows
Server 2003 64 位版本
· http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
安装平台:
· Windows
NT 4.0 修补程序可在运行 Service
Pack 6a 的系统上安装。
· Windows NT 4.0 Terminal Server
Edition 修补程序可在运行 Windows NT 4.0 Terminal Server Edition Service
Pack 6 的系统上安装。
· Windows 2000 修补程序可在运行 Windows 2000
Service
Pack 3 或 Service
Pack 4 的系统上安装。
· Windows XP 修补程序可在运行 Windows XP
Gold 或 Service
Pack 1 的系统上安装。
· Windows Server 2003 修补程序可在运行 Windows
Server 2003 Gold 的系统上安装。
包括在将来的 Service Pack 中:此问题的修补程序将包括在 Windows 2000
Service Pack 5、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack
1 中。
是否需要重新启动:是
修补程序能否卸载:是
替代修补程序:否
清除方法:
以上措施只是挽救已将崩溃的系统,修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后,立即安装防毒软件或升级已安装病毒软件的最新病毒库,并全面检测你的系统以确保能够清楚残留在系统中的病毒。
※ 在防火墙上封堵 135 端口
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
※ Internet 连接防火墙
如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自
Internet 的入站 RPC 通信信息。
※ 禁用所有受影响的计算机上的 DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的
DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。
手动为计算机启用(或禁用) DCOM:
1. 运行 Dcomcnfg.exe
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
※ 单击"控制台根节点"下的"组件服务"。
※ 打开"计算机"子文件夹。
※ 对于本地计算机,请以右键单击"我的电脑",然后选择"属性"。
※ 对于远程计算机,请以右键单击"计算机"文件夹,然后选择"新建",再选择"计算机"。输入计算机名称。以右键单击该计算机名称,然后选择"属性"。
2. 选择"默认属性"选项卡。
3. 选择(或清除)"在这台计算机上启用分布式 COM"复选框。
4. 如果您要为该计算机设置更多属性,请单击"应用"按钮以启用(或禁用) DCOM。否则,请单击"确定"以应用更改并退出 Dcomcnfg.exe。
要验证计算机上是否已安装修补程序,请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
※ Windows NT 4.0 Terminal Server Edition:
要验证计算机上是否已安装修补程序,请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
※ Windows 2000:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows 2000SP5KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
※ Windows XP:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows XPSP2KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
※ Windows Server 2003:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindow Server 2003SP1KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
常见问题解答
问:该漏洞的范围有多大?
答:这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制。这可能使攻击者能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
要发动此类攻击,攻击者需要能够向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码。
防范来自 Internet 的远程 RPC 攻击的最佳方法是:将防火墙配置为封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。
问:此漏洞是由什么问题引起的?
答:此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。
问:什么是 DCOM?
答:分布式对象模型 (DCOM) 是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做"网络 OLE",它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/dcom.asp
问:什么是 RPC(远程过程调用)?
答:远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。
问:攻击者可利用此漏洞做什么?
答:如果攻击者能够成功利用此漏洞,他将能够在受影响的系统上运行拥有本地系统特权的代码。攻击者将能够对系统执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
问:攻击者会如何利用此漏洞?
答:攻击者可以通过编程方式来寻求利用此漏洞,在一台能够通过 TCP 端口 135 与易受影响的服务器通信的计算机上,发送特定类型的、格式错误的 RPC 消息。接收此类消息会导致易受影响的计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:哪些人可能利用该漏洞?
答:任何能够向受影响的计算机上的 135 端口发送 TCP 请求的用户都能利用此漏洞。因为 Windows 的各种版本中的 RPC 请求在默认情况下是打开的,这实际上意味着任何能够与受影响的计算机建立连接的用户都能利用此漏洞。
通过其他方法也可以访问受影响的组件,例如,通过以交互方式登录到受影响的系统,或使用一个类似的以本地或远程方式向受影响的组件传递参数的应用程序。
有关其他安全问题的修补程序可从以下位置获得:
※ 安全修补程序可以从 Microsoft 下载中心获得,通过执行"security_patch"关键字搜索即可方便地找到。
※ 有关客户平台的修补程序可从 WindowsUpdate Web 站点获得。
东软网络安全 微信号:Neusoft_NetEye
